Windows - Auditoria de eventos de logon e logon de conta
| 
| 
Sempre fica uma pequena duvida entre qual auditoria utilizar. Mas nada mais facil é saber o tipo de evento que precisamos e assim habilitar a auditoria correta.
Eventos de Logon de Conta
Eventos de logon de conta são gerados nos controladores de domínio para a atividade das contas do domínio e nos computadores locais para a atividade das contas locais.
Eventos de logon | Descrição |
528 | Um usuário fez logon com sucesso em um computador. Para obter informações sobre o tipo de logon, consulte a tabela Tipos de Logon a seguir. |
529 | Falha de logon. Foi feita uma tentativa de logon com nome de usuário desconhecido ou senha inválida. |
530 | Falha de logon. Foi feita uma tentativa de logon por uma conta de usuário que tentou fazer logon fora do horário permitido. |
531 | Falha de logon. Foi feita uma tentativa de logon usando-se uma conta desabilitada. |
532 | Falha de logon. Foi feita uma tentativa de logon usando-se uma conta expirada. |
533 | Falha de logon. Foi feita uma tentativa de logon por um usuário que não tem permissão para fazer logon nesse computador. |
534 | Falha de logon. O usuário tentou fazer logon com um tipo que não é permitido. |
535 | Falha de logon. A senha da conta especificada expirou. |
536 | Falha de logon. O serviço Net Logon não está ativo. |
537 | Falha de logon. A tentativa de logon falhou por outros motivos. Observação · Em alguns casos, o motivo da falha do logon pode ser desconhecida. |
538 | O processo de logoff de um usuário foi concluído. |
539 | Falha de logon. A conta foi bloqueada no momento em que foi feita a tentativa de logon. |
540 | Um usuário fez logon com sucesso na rede. |
541 | Foi concluída a autenticação do Internet Key Exchange (IKE) de modo principal entre o computador local e a identidade dos computadores listados (estabelecendo uma associação de segurança), ou o modo rápido estabeleceu um canal de dados. |
542 | Um canal de dados foi finalizado. |
543 | O modo principal foi finalizado. Observação · Isso pode ocorrer porque o limite de tempo da associação de segurança expirou (o padrão é 8 horas), devido a alterações nas diretivas ou ao desligamento do computador. |
544 | Falha da autenticação do modo principal porque o computador não forneceu um certificado válido ou a a assinatura não foi validada. |
545 | Falha na autenticação do modo principal devido a uma falha do Kerberos ou porque a senha era inválida. |
546 | Falha ao estabelecer a associação de segurança IKE porque o computador enviou uma proposta inválida. Foi recebido um pacote contendo dados inválidos. |
547 | Ocorreu uma falha durante um handshake do IKE. |
548 | Falha de logon. A identificação de segurança (SID) de um domínio confiável não corresponde à SID do domínio da conta do cliente. |
549 | Falha de logon. Todas as SIDs correspondentes a espaços para nome não-confiáveis foram filtrados durante a autenticação entre florestas. |
550 | Mensagem de notificação que pode indicar um possível ataque de negação de serviço. |
551 | Um usuário iniciou um processo de logoff. |
552 | Um usuário fez logon com sucesso a um computador que usa credenciais explícitas enquanto já havia feito logon como um usuário diferente. |
682 | Um usuário reconectou-se com uma sessão do Terminal Server desconectada. |
683 | Um usuário desconectou uma sessão do Terminal Server sem fazer logoff. Observação · Esse evento é gerado quando um usuário é conectado a uma sessão do Terminal Server pela rede. Ele aparece no Terminal Server. |
Quando um evento 528 é registrado, um tipo de logon também é listado no log de eventos. A tabela a seguir describe cada tipo de logon.
Tipo de logon | Nome do logon | Descrição |
2 | Interactive | Um usuário fez logon nesse computador. |
3 | Network | Um usuário ou computador fez logon nesse computador a partir da rede. |
4 | Batch | O tipo de logon Batch é usado por servidores batch quando podem haver processos sendo executados em nome de um usuário sem a sua intervenção direta. |
5 | Service | Um serviço foi iniciado pelo Gerenciador de Controle de Serviços. |
7 | Unlock | Essa estação de trabalho foi desbloqueada. |
8 | NetworkCleartext | Um usuário fez logon nesse computador a partir da rede. A senha do usuário foi transmitida ao pacote de autenticação em sua forma sem hash. Todos os pacotes de autenticação internos aplicam hash em credenciais antes de enviá-las pela rede. As credenciais não precisam atravessar a rede em texto simples (também conhecido como texto não criptografado). |
9 | NewCredentials | Um chamador clonou seu token atual e especificou novas credenciais para conexões de saída. A nova sessão de logon possui a mesma identidade local, mas usa credenciais diferentes para outras conexões de rede. |
10 | RemoteInteractive | Um usuário fez logon nesse computador remotamente usando serviços de terminal ou área de trabalho remota. |
11 | CachedInteractive | Um usuário fez logon nesse computador com credenciais de rede que estavam armazenadas localmente no computador. O controlador do domínio não foi contatado para verificar as credenciais. |
Eventos de Logon
Essa configuração de segurança determina se deve ser feita a auditoria de cada instância de logon ou logoff do usuário em outro computador na qual esse computador seja usado para validar a conta. Eventos de logon de conta são gerados quando uma conta de usuário do domínio é autenticada em um controlador de domínio. O evento é registrado no log de segurança do controlador de domínio. Os eventos de logon são gerados quando um usuário local é autenticado em um computador local. O evento é registrado no log de segurança local. Eventos de logoff de conta não são gerados.
Se você definir esta configuração de diretiva, poderá especificar se haverá auditoria de acessos com êxito, acessos sem êxito ou se não ocorrerá auditoria desse tipo de evento. As auditorias com êxito geram uma entrada de auditoria quando uma tentativa de logon de conta é bem-sucedida. As auditorias sem êxito geram uma entrada de auditoria quando uma tentativa de logon de conta apresenta falhas.
Eventos de logon de conta | Descrição |
672 | Uma permissão de serviço de autenticação (AS) foi emitida e validada com sucesso. |
673 | Foi concedida uma permissão ao serviço de concessão de permissão (TGS). |
674 | Um objeto de segurança renovou uma permissão AS ou TGS. |
675 | Falha de pré-autenticação. Esse evento é gerado em um centro de distribuição de chaves (KDC) quando um usuário digita uma senha incorreta. |
676 | Falha na solicitação da permissão de autenticação. Esse evento não é gerado no Windows XP nem na família Windows Server 2003. |
677 | Não foi concedida uma permissão TGS. Esse evento não é gerado no Windows XP nem na família Windows Server 2003. |
678 | A conta foi mapeada com sucesso como uma conta do domínio. |
681 | Falha de logon. Foi feita uma tentativa de logon na conta do domínio. Esse evento não é gerado no Windows XP nem na família Windows Server 2003. |
682 | Um usuário reconectou-se a uma sessão do Terminal Server desconectada. |
683 | Um usuário desconectou uma sessão do Terminal Server sem fazer logoff. |
Última atualização (Seg, 29 de Junho de 2009 17:00)
| Artigos relacionados: |
|---|
|
| Powered By relatedArticle |
Comentários
Abraços,
Smeagol